Operation Wocao: Shining a light on one of China’s hidden hacking groups

这份报告详细介绍了 Fox-IT 在过去两年中处理的公开低估的威胁行为者的概况。Fox-IT 高度自信地评估该行为者是一个中国团体，他们可能正在努力支持中国政府的利益，并负责为间谍目的获取信息。Fox-IT 以中等信心评估工具、技术和程序是被称为 APT20 的参与者的工具、技术和程序。我们已经在 10 个国家/地区、政府实体、托管服务提供商以及包括能源、医疗保健和高科技在内的众多行业中确定了该行为者的受害者。
除了技术细节之外，这份报告还应该提醒我们所有人，高端威胁行为者是如何专注和以结果为导向的，以实现他们的目标。该演员简介显示：

• 他们在通过“合法”渠道访问的基础上开展大部分活动。VPN 访问就是这种渠道的一个例子，我们甚至看到 APT20 滥用 2FA 软令牌
• 出于备份目的，他们可能会保留其他访问方法。
• 他们通过网络移动，直接挑选出具有特权访问权限的员工（管理员）的工作站。
• 在这些系统上，密码库（密码管理器）的内容被直接定位和检索。
• 他们尽可能地删除基于文件系统的活动取证痕迹，使调查人员更难确定事后发生的事情。
• 在上述基础上，攻击者可以有效地实现窃取数据、破坏系统、维护访问和跳转到其他目标的目标。
• 总体而言，尽管他们用于黑客操作的工具和技术相对简单且切中要害，但总体而言，该演员已经能够保持低调。

了解高端威胁参与者的工作方式还应该提醒我们，作为防御者，我们必须不断重新审视我们的防御策略：

• 零信任或稳健分段必须是任何基础设施的指导原则之一，无论是系统还是身份。作为其中的一部分，在适用的情况下利用 Microsoft 的增强安全管理环境 (ESAE) 将大大提高您的弹性，并可以防止许多攻击得逞。
• 对任何严重事件的及时检测和适当响应取决于来自网络和端点的高级和低级遥测的组合。

可以在我们的 GitHub 页面上找到与该参与者相关的妥协指标。
有关 Fox-IT 托管检测和响应 (MDR) 产品的查询或更多信息，请联系 fox@fox-it.com。

下载WoCao行动报告

Fox-IT - Operation WoCao-Shining a light on one of China’s hidden hacking groups.pdf